GDPR – Personlige opplysninger

Sensitive personopplysninger

GDPR forbyr som hovedregel private aktørers behandling av personopplysninger knyttet til straffedommer og lovovertredelser. På den annen side kan behandling av personopplysninger om straffedommer og lovovertredelser tillates i visse tilfeller, ved anvendelse av unntak fra hovedregelen.

De sensitive personopplysningene er

  1. Rasemessig eller etnisk opprinnelse; 
  2. Politiske oppfatninger; 
  3. Religiøs eller filosofisk tro;
  4. Medlemskap i fagforeninger, 
  5. Genetiske opplysninger, 
  6. Biometriske data med det formål å entydig identifisere en fysisk person; 
  7. Helse,
  8. Seksuelt liv eller seksuell legning;

Er det forbudt å behandle sensitive personopplysninger etter hovedregelen?

Ja, behandling av sensitive personopplysninger er forbudt og derfor ikke tillatt i henhold til den generelle regelen fastsatt i artikkel 9 i GDPR. Det finnes imidlertid enkelte unntak fra hovedregelen, som i visse tilfeller kan gjøre det mulig å behandle sensitive personopplysninger. 

Hva er sikkerhetskravene for behandling av sensitive personopplysninger?

Ved behandling av sensitive personopplysninger må selskapet iverksette bedre tekniske og organisatoriske sikkerhetstiltak enn ved behandling av «vanlige personopplysninger». Selv personopplysninger som ikke er sensitive, men som anses som personvernsensitive, må behandles med en høyere grad av sikkerhet enn andre ”vanlige personopplysninger”. 

What breaches of the GDPR can lead to an administrative fine?

Eksempler på hva som ikke utgjør sensitive personopplysninger:

  • Opplysninger om bankkonto.
  • Opplysninger om straffbare forhold eller lovbrudd.
  • Personlig identifikasjonsnummer.

Opplysninger om helse er sensitive personopplysninger som behandles av arbeidsgivere

Arbeidsgivere må ofte behandle data om helsen til sine ansatte. For eksempel informasjon om sykefravær eller uførhet. I tillegg har sykefravær en tendens til å vises i lønnsslipper, noe som betyr at lønnsslipper må behandles med tilstrekkelig sikkerhet. Derfor bør for eksempel en arbeidsgiver ikke sende lønnsslippen via ukrypterte e-postmeldinger. 

Når er behandling av sensitive personopplysninger tillatt?

Artikkel 9 (2) i GDPR inneholder en liste over ti unntak, som tillater behandling av sensitive personopplysninger. Dette betyr at hvis et av unntakene gjelder, kan de sensitive personopplysningene behandles, til tross for forbudet fastsatt av hovedregelen i artikkel 9 nr. 1 i GDPR. Nedenfor er en liste over de 10 unntakene for behandling av sensitive personopplysninger. 

Measures that companies need to take to comply with GDPR

Eksplisitt samtykke (artikkel 9 (2) (a) GDPR)

Dersom den registrerte har gitt uttrykkelig samtykke til behandling av sensitive personopplysninger som tilhører ham eller henne, kan slike opplysninger behandles i henhold til dette unntaket.

Sensitive personal data according to GDPR

Arbeidsrett, sosial sikkerhet eller sosial beskyttelse (artikkel 9 (2) (b) GDPR)

Hvis behandlingen av de sensitive personopplysningene er nødvendig i henhold til lov på arbeidsrettsområdet eller tariffavtaler, kan dette gjøres på grunnlag av dette unntaket. Dette er imidlertid underlagt hensiktsmessige garantier i forhold til behandlingen.

Subjektivt integritetskänsliga personuppgifter

Grunnleggende interesse (artikkel 9 (2) (c) GDPR)

Behandling av sensitive personopplysninger er tillatt, om nødvendig for å redde liv. I slike tilfeller er det rettslige grunnlaget for behandlingen beskyttelse av grunnleggende interesser som nevnt i artikkel 6 nr. 1 bokstav d). For eksempel kan et sykehus må ta en blodprøve fra en bevisstløs person tatt til legevakten for å gi personen riktig type blod. Som helseopplysninger er det sensitive personopplysninger. Dette unntaket kan imidlertid ikke brukes hvis den registrerte er i stand til å gi sitt samtykke, for eksempel hvis han eller hun har gjort en medisinsk avtale og er i stand til å gi sitt samtykke.

What is the definition of anonymised data?

Ikke-kommersiell organisasjon (artikkel 9 (2) (d) GDPR)

Sensitive personopplysninger kan behandles i en ideell organisasjon, forutsatt at de bare gjelder medlemmer eller andre personer som har regelmessig kontakt med organisasjonen, og at de sensitive personopplysningene ikke spres utenfor organisasjonen. For eksempel kan dette unntaket brukes av en ideell politisk, religiøs eller fagforeningsorganisasjon.

Klart publisert av den registrerte (artikkel 9 (2) (e) GDPR)

Hvis de sensitive personopplysningene er tydelig publisert av den registrerte selv, kan de behandles på grunnlag av dette unntaket. For eksempel, hvis en person står som kandidat i et valg til et politisk parti og er åpent involvert i intervjuer, debatter og ellers er offentlig aktiv i politikken.

Measures that companies need to take to comply with GDPR

Etablering, utøvelse eller forsvar av rettslige krav (artikkel 9 (2) (f) GDPR)

Når det er nødvendig å behandle sensitive personopplysninger for etablering, utøvelse eller forsvar av juridiske krav, er det tillatt å behandle dem. Det er også tillatt for domstolene å behandle sensitive personopplysninger som en del av deres rettslige aktiviteter.

Sensitive personal data according to GDPR

Viktig offentlig interesse (artikkel 9 (2) (g) GDPR)

Hvis behandlingen av de sensitive personopplysningene er nødvendig av hensyn til viktige interesser ved lov, og behandlingen er underlagt hensiktsmessige garantier, er behandlingen tillatt i henhold til dette unntaket. Offentlige myndigheter kan for eksempel behandle sensitive personopplysninger for å verifisere eller undersøke mulig subsidiebedrageri. Myndighetene kan også ha behov for å behandle sensitive personopplysninger i noen tilfeller som en del av bakgrunnssjekken. For eksempel data om brudd på lov, helse eller politisk ekstremisme, for å vurdere om en person er skikket til å jobbe i klassifiserte yrker, for eksempel politiet.

What is the definition of anonymised data?

Helse- eller sosialhjelp (artikkel 9 (2) (h) GDPR)

Når behandling av sensitive personopplysninger er nødvendig i henhold til lov eller kontrakt for utførelse av helse- eller sosialomsorg, behandling av vurdering og arbeidsevne, kan dette gjøres gjennom dette unntaket. Konfidensialitet må imidlertid brukes og spesifikke garantier må settes på plass.

Subjektivt integritetskänsliga personuppgifter

Folkehelsemessige årsaker (artikkel 9 (2) (i) GDPR)

I henhold til dette unntaket, der behandling av sensitive personopplysninger er nødvendig av hensyn til folkehelsen, kan det utføres, med forbehold for hensiktsmessige tekniske og organisatoriske garantier. For eksempel for å sikre kvaliteten på medisiner eller beskytte mot alvorlige grenseoverskridende trusler mot helse.

Arkiveringsformål i allmennhetens interesse, vitenskapelig eller historisk forskning eller statistikk (artikkel 9 (2) (j) GDPR)

Dersom sensitive personopplysninger må behandles for arkiveringsformål i allmennhetens interesse, vitenskapelig eller historisk forskning eller statistikk i samsvar med artikkel 89 i personvernforordningen, kan dette gjøres ved hjelp av dette unntaket, forutsatt at nødvendige garantier er innført.

Mer informasjon om personopplysninger

Behandling av personopplysninger knyttet til straffedommer og lovovertredelser

Som en generell regel er behandling av personopplysninger knyttet til lovbrudd forbudt, med mindre det utføres av en rettshåndhevende myndighet. På den annen side står EU-landene fritt til å regulere hvordan andre aktører, som private selskaper, kan behandle slike personopplysninger. Eksempler på personopplysninger om lovbrudd er opplysninger om noen som har begått en straffbar handling, straffedommer og tvangsforanstaltninger, som reiseforbud og avgjørelser. 

Lyst til å lære mer?

Les mer
Skroll til toppen